O Atestado de Integridade verifica se há falhas de integridade nos dispositivos durante a inicialização. Use o atestado de integridade para detectar os dispositivos comprometidos do Windows Desktop enquanto gerenciado no Workspace ONE UEM.

Em implantações de dispositivos BYOD e de propriedade corporativa, é importante saber que os dispositivos estão íntegros ao acessar os recursos corporativos. O serviço de Atestado de Integridade do Windows acessa as informações de inicialização do dispositivo a partir da nuvem por meio das comunicações seguras. Essas informações são medidas e verificadas em relação a pontos de dados relacionados para garantir que o dispositivo inicializou conforme o esperado e não é vítima de ameaças ou vulnerabilidades de segurança. As medidas incluem a Inicialização Segura, a Integridade de Código, o BitLocker e o Gerenciador de Inicialização.

O Workspace ONE UEM permite configurar o serviço de Atestado de Integridade do Windows para garantir a conformidade do dispositivo. Se alguma das verificações ativadas falhar, o mecanismo das políticas de conformidade do Workspace ONE UEM aplicará medidas de segurança com base na política de conformidade configurada. Tal recurso permite que possa manter seus dados corporativos protegidos dos dispositivos fora de conformidade. Como o Workspace ONE UEM obtém as informações que necessita do hardware do dispositivo e não do seu sistema operacional (SO), os dispositivos comprometidos são detectados mesmo quando o kernel do SO está comprometido.

Configurar o Atestado de Integridade com as Políticas de conformidade do Windows Desktop

Mantenha os dispositivos protegidos usando o serviço de Atestado de Integridade do Windows para a detecção de dispositivos comprometidos.

  1. Vá para Grupos e configurações > Todas as configurações > Dispositivos e usuários > Windows > Windows Desktop > Declaração de integridade Windows.

  2. Selecione Usar servidor personalizado se estiver usando um servidor personalizado no local que executa o Atestado de Integridade. Digite a URL do servidor.

  3. Defina as configurações do Atestado de Integridade:

    Configurações Descrições
    Usar o servidor personalizado Selecione para configurar um servidor personalizado para a Declaração de integridade.

    Essa opção exige um servidor que execute o Windows Server 2016 ou mais recente.

    Ativar essa opção exibe o campo de texto URL do servidor.
    URL do servidor Digite a URL para o seu servidor de Declaração de integridade personalizado.
    Inicialização segura desativada Ative para sinalizar status de comprometimento do dispositivo quando a Inicialização segura estiver desativada no dispositivo.

    A inicialização segura força o sistema a ser inicializado em um estado de fábrica confiável. Quando a inicialização segura está habilitada, os componentes centrais usados para inicializar a máquina devem ter as assinaturas criptográficas corretas que a OEM confie. O firmware UEFI verifica a relação de confiança antes de permitir que a máquina seja iniciada. A inicialização segura impede a inicialização se detectar arquivos violados.
    A chave de declaração de identidade (AIK) não se encontra presente Ative para sinalizar status de comprometido do dispositivo quando a AIK não estiver presente no dispositivo.

    Se a chave de declaração de identidade (AIK) estiver presente em um dispositivo, isso indicará que o dispositivo possui um certificado de endosso da chave (EK). Ele pode ser mais confiável do que um dispositivo que não tenha um certificado EK.
    Política de prevenção de execução de dados (DEP) desativada Ative para sinalizar status de comprometimento do dispositivo quando a DEP estiver desativada no dispositivo.

    A política de prevenção de execução de dados (DEP) é um recurso de proteção da memória integrado no nível do SO. A política impede o código de páginas de dados, como heap padrão, pilhas e pools de memória. A DEP é executada pelo hardware e software.
    BitLocker desativado Ative para sinalizar o status de comprometimento do dispositivo quando a criptografia do BitLocker estiver desativada no dispositivo.
    Verificação de integridade do código desativada Ative para sinalizar o status de comprometimento do dispositivo quando a verificação de integridade do código estiver desativada no dispositivo.

    A integridade do código é um recurso que valida a integridade de um driver ou arquivo do sistema cada vez que ele é carregado na memória. Verificações de integridade de código para drivers não assinados ou arquivos de sistema antes de serem carregados no kernel. A verificação também examina usuários com privilégios administrativos que executem arquivos de sistema modificados por software malicioso.
    Proteção antimalware de inicialização antecipada desativada Ative para sinalizar status de comprometimento do dispositivo quando o antimalware de inicialização antecipada estiver desativado no dispositivo.

    A proteção antimalware de inicialização antecipada (ELAM) promove a proteção dos computadores em sua rede quando eles são inicializados e antes que os drivers de terceiros sejam inicializados.
    Verificação da versão da integridade do código Ative para sinalizar status de comprometido do dispositivo quando a verificação de versão de integridade do código falhar.
    Verificação da versão do gerenciador de inicialização Ative para sinalizar status de comprometido do dispositivo quando a verificação de versão de gerente de inicialização falhar.
    Verificação do úmero da versão de segurança do aplicativo de inicialização Ative para sinalizar o status de comprometido do dispositivo quando o número de versão de segurança do aplicativo de inicialização não corresponder ao número inserido.
    Verificação do número da versão de segurança do gerenciador de inicialização Ative para sinalizar o status de comprometido do dispositivo quando o número de versão de segurança do gerente de inicialização não corresponder ao número inserido.
    Configurações avançadas Ative para definir configurações avançadas na seção de identificadores de versão de software.
  4. Selecione Salvar.

Tópico principal: Políticas de conformidade

check-circle-line exclamation-circle-line close-line
Scroll to top icon